A tendência de que o trabalho remoto permaneça como um novo normal, dentro do modelo de trabalho, exige medidas de cibersegurança remota
Por mais que o trabalho remoto tenha ganhado notoriedade devido à política de home office implementada por conta do novo coronavírus, há cerca de duas décadas as pessoas já carregavam seus dispositivos para e do escritório.
Entretanto, a questão de segurança naquele tempo não se fazia tão necessária quanto agora, quando o novo modelo de trabalho se instaurou em massa, deixando dados corporativos em todo lugar.
Quando John “Four” Flynn co-desenvolveu a iniciativa de segurança corporativa BeyondCorp do Google, ele fez isso realmente com a intenção de trilhar um caminho sem volta para a implementação do trabalho remoto, diz artigo do CIO Dive. Flynn, agora CISO da Uber, disse que esta prática era mais simples nos anos 1990, já que as pessoas não eram alvo de ataques cibernéticos porque computadores e servidores permaneciam no escritório.
“Estamos vendo algo que não é normal”, disse Flynn, durante uma mesa redonda virtual organizada pela Billington CyberSecurity. Ele observou que o cronograma de recuperação do coronavírus pode ter a forma de W, o que significa que existam períodos de funcionários fazendo a transição regular entre trabalhar em um escritório e em casa.
Com a força de trabalho remota, a segurança se move para o terminal. As empresas então precisam se preparar para ações não controladas de funcionários, dispositivos e acesso a dados corporativos.
E quando se lembra que a crise econômica e de saúde atingindo também os Estados Unidos, as empresas são forçadas a implementar princípios de confiança zero em um ritmo acelerado, “quer eles saibam [como fazê-lo] ou não”, disse Wendy Nather, Chefe de CISOs consultores da Duo Security da Cisco, durante a teleconferência.
Nather disse ainda que as medidas emergenciais podem gerar respostas rápidas que tornam a segurança cibernética ainda mais vulnerável. As empresas que procuram uma estrutura de segurança temporária, complementada por ofertas gratuitas ou novos testes, diz o artigo, podem ser enganadas quando descobrem que não conseguem extrair as análises dos dados colocados nas ferramentas. “Não sabemos quando isso vai acabar”, diz Nather, ou seja, as funções de segurança devem ser escolhidas considerando o longo prazo.
A Duo descobriu que os funcionários usam em média 2,5 dispositivos. Em empresas de tecnologia maiores, como Google e Facebook, os funcionários usam entre cinco e sete dispositivos. Remotamente, esse número – e o número de dispositivos desconhecidos que acessam dados corporativos – muda diariamente, de acordo com o CIO Dive.
Os funcionários remotos estão usando vários sistemas operacionais simultaneamente. Os funcionários provavelmente não receberam dispositivos pré-configurados antes de ficarem remotos e qualquer rede VPN não possui elasticidade para oferecer suporte a todos, disse o general aposentado Greg Touhill, Presidente da AppGate e ex-CISO federal dos EUA, durante a conferência.
Segundo Touhill, as arquiteturas de tecnologia têm mostrado sua idade à medida que suportam a recente alta demanda. A confiança zero é apontada como o melhor modelo de segurança, porque é responsável por todas as ameaças cibernéticas, não apenas pelas que são relevantes apenas hoje.
Os ataques de phishing aumentaram 667% de fevereiro a março e o ransomware está circulando entre os prestadores de serviços de saúde, diz o CIO Dive. Os hackers que revisitam táticas antigas tentam explorar pessoas que já são “vulneráveis psicologicamente”, disse Flynn. “Normalmente, esses grupos não interagem tanto”, mas como o cenário de ameaças está em constante evolução, o Uber compartilha ideias com os funcionários. Ao fazer isso, os funcionários podem estar melhor preparados para proteger seu trabalho virtual e vida pessoal, de acordo com ele.
No entanto, essa transparência é difícil de encontrar. “Os analistas de ameaças sabem muito mais que os funcionários” e isso é planejado, segundo Nather. Quaisquer ameaças conhecidas, especialmente invasões bem-sucedidas, deixam a liderança nervosa com outras divulgações. Mas a comunicação “em ambas as direções” é necessária, ressalta. Cabe à liderança designar uma estrutura de comunicação formal para todos os funcionários em relação à segurança.
Um modelo de confiança zero permite que a segurança seja independente da tecnologia, disse Touhill. A área cinzenta da segurança do terminal é até o ponto em que um funcionário permitirá que sua empresa injete protocolos de segurança em seus dispositivos pessoais. “Todos nós temos esses usuários super privilegiados que dizem: ‘você não vai tocar no meu telefone'”, disse Nather. “Isso está ficando ainda pior agora”.
Se a TI puder negociar com os funcionários – como trocar uma atualização de software por mais acesso aos recursos – a segurança do terminal estará mais ao alcance. A TI “não pode gerenciar coisas que eles não publicaram”, disse Nather.
Outro fator a ser considerado menciona sobre o que as empresas fazem quando um dispositivo é comprometido. O Uber foi construído com base em uma força de trabalho distribuída e teve que desenvolver aquisições e análises forenses remotas para esses fins, segundo Flynn. Os ambientes de área de trabalho virtual podem ser a única solução para empresas que não podem emitir dispositivos para funcionários remotos.
Dependendo do usuário, as habilidades de introspecção de TI podem ser limitadas, mas um usuário ou dispositivo pode informar uma empresa sobre seu nível de confiança. Se for um dispositivo pessoal, a confiança pode ser mais conservadora, exemplifica o artigo.
